ニュース
» 2018年06月13日 08時00分 公開

アナリストの負荷を軽減:膨大なセキュリティアラートの誤検知、「9割以上」見抜けるAIを日立が開発中

サイバー攻撃の検知はできても、月に数千件も上がってくるアラートにどう対応すればいいのか――そんな悩みを解決してくれるAIを日立製作所が開発している。

[池田憲弘,ITmedia]
photo 2018年6月12日に開催した「日立セキュリティセミナー」で、AIを使ったセキュリティ監視が展示されていた

 サイバー攻撃の激しさが増し、新たに発見される脆弱(ぜいじゃく)性も年々増え続ける中、企業のセキュリティ担当者にかかる負荷も増え続けている。「攻撃の検知や可視化はできても、ログ解析の結果出てくる、1日100件以上のアラートにどう対応すればいいのか」。そんな悩みを抱えている企業は少なくないだろう。

 実際のところ、膨大なアラートの中で本当に対応すべきものはほんのわずかで、それ以外の大半は誤検知なのが一般的だ。この誤検知をAI/機械学習を使って見抜き、セキュリティ監視業務の負荷を軽減できないか――。そのような取り組みが、日立製作所のプライベートイベント「日立セキュリティセミナー」で展示されていた。

 膨大なアラートから、優先して対応すべきものを決めるのはアナリストの仕事だが、ビジネスごとにその傾向は異なることから、属人化してしまうという課題がある。また、セキュリティ人材の育成は時間がかかることから、人手不足にも陥りやすい。

photo AIを使ったセキュリティ監視の仕組み

 日立製作所が研究を進めているのは、過去のインシデント例などから、ログの内容(時間やIPアドレスなど)とアラートの種類、そしてアナリストによる判断結果の関係性を学習させたAIを構築する方法だ。過去の判断結果を教師データ(正解データ)とする、教師あり学習を採用しており、AIが誤検知の可能性を数値化し、対応すべきアラートの優先度を0から1の間でスコアリングする。その結果を基に、ユーザーは優先すべきアラートを絞り込むことができるというわけだ。

 現在、この技術は社内外で実証実験を進めている最中とのことで、「正しい検知を見逃さないレベルの判定基準で、最大で95%の誤検知を低減できる」(同社)という。比較的シンプルな仕組みの機械学習を使っているため、100件程度のデータでもAIを開発できるとのことで、「依頼を受けてから2カ月程度で効果が出る」(同社)という。

photophoto アラートを抽出し(左)、0から1の範囲でスコアリングを行う(右)。数値が高いほど、優先度が高いことを表している

セキュリティに「AI」を使う難しさ

 とはいえ、セキュリティにAIを使うにはさまざまな課題もある。まずは「高い精度が求められる」という点だ。インシデントにつながるアラートを見逃してしまえば、重大な情報漏えいにつながる可能性があるため、基本的には見逃し(統計学でいう「第二種過誤」)はゼロに近づけたいところだ。

 しかし、見逃しを減らそうとすれば、今度は誤検知を「対応すべきアラート」として表示させてしまう可能性(統計学でいう「第一種過誤」)が増える。この両方の可能性を同時に減らしていくのは簡単なことではない。

 その他にも、大量にある誤検知のケースに比べて、実際にインシデントにつながったケースは少ないため、データの収集が難しいほか、日々増える攻撃の方法に対応できるよう、継続的にAIの“働き”を見直す必要も出てくる。そのため、実際にこれをサービス化する際は、コンサルティングと組み合わせる形を想定しているとのこと。同社によると「実証実験の結果や、さまざまな課題を解決しながら、2018年秋ごろのサービスインを目指している」という。

関連キーワード

日立製作所 | セキュリティ | 機械学習


Copyright © ITmedia, Inc. All Rights Reserved.

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -